Dell EMC Unity: No se puede generar el certificado CSR para SSL [corregible por el usuario]
Sammanfattning: No se puede generar el certificado CSR para SSL
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
Después de la actualización a 5.1.0, el certificado CSR con CA autorizada no se carga con FIPS 140-2 habilitado cuando se utiliza el siguiente comando, lo que genera el error:
root@XXXX spa:~# openssl genrsa -des3 -out unitycrt.key -passout pass:emcemc
Generating RSA private key, 2048 bit long modulus
***********************************************************************************************************************************************************************************************************************+++++
************************************************************************************************************************************************************+++++
e is 65537 (0x010001)
140239201434496:error:060800C8:digital envelope routines:EVP_DigestInit_ex:disabled for FIPS:crypto/evp/digest.c:130:
root@XXXX spa:~# openssl genrsa -des3 -out unitycrt.key -passout pass:emcemc
Generating RSA private key, 2048 bit long modulus
***********************************************************************************************************************************************************************************************************************+++++
************************************************************************************************************************************************************+++++
e is 65537 (0x010001)
140239201434496:error:060800C8:digital envelope routines:EVP_DigestInit_ex:disabled for FIPS:crypto/evp/digest.c:130:
Orsak
Los siguientes son extractos de la "Guía de configuración de seguridad de la familia Dell EMC Unity"
https://dl.dell.com/content/docu69321_Dell_EMC_Unity_Family_Security_Configuration_Guide.pdf?language=en_US
El sistema de almacenamiento soporta el modo FIPS 140-2 de los módulos SSL que manejan el tráfico de administración de clientes. La comunicación
de administración dentro y fuera del sistema se cifra mediante SSL. Como parte de este proceso, el cliente y el software
de administración de almacenamiento negocian un conjunto de cifrado para utilizar en el intercambio. Habilitar el modo FIPS 140-2 restringe el conjunto negociable
de conjunto de cifrado a solo aquellos que aparecen en la publicación de funciones de seguridad aprobadas de FIPS 140-2. Si el modo FIPS 140-2
está habilitado, es posible que detecte que algunos de sus clientes existentes ya no se pueden comunicar con los puertos de administración del
sistema si no soportan los conjuntos de cifrado aprobados de FIPS 140-2
https://dl.dell.com/content/docu69321_Dell_EMC_Unity_Family_Security_Configuration_Guide.pdf?language=en_US
El sistema de almacenamiento soporta el modo FIPS 140-2 de los módulos SSL que manejan el tráfico de administración de clientes. La comunicación
de administración dentro y fuera del sistema se cifra mediante SSL. Como parte de este proceso, el cliente y el software
de administración de almacenamiento negocian un conjunto de cifrado para utilizar en el intercambio. Habilitar el modo FIPS 140-2 restringe el conjunto negociable
de conjunto de cifrado a solo aquellos que aparecen en la publicación de funciones de seguridad aprobadas de FIPS 140-2. Si el modo FIPS 140-2
está habilitado, es posible que detecte que algunos de sus clientes existentes ya no se pueden comunicar con los puertos de administración del
sistema si no soportan los conjuntos de cifrado aprobados de FIPS 140-2
Upplösning
- El problema parece ser la opción "-des3" en el comando "openssl genrsa".
- Con la eliminación de la opción -des3, el comando funciona
- Es posible que el acceso raíz no sea necesario para ejecutar el comando. Sin embargo, si se produce algún error de privilegio, incluya soporte para ayudar a insertar la raíz.
- Ejecute como comando lo que se indica a continuación:
Ytterligare information
Tenga en cuenta que -passout no es necesario cuando la clave no está cifrada. Esto puede suponer un problema con openssl.
Según el uso previsto de la clave privada, se debe cifrar o no. Tengo entendido que si la clave privada se va a utilizar con el script svc_custom_cert, la clave privada no se debe cifrar. Si hace referencia a KB335076, tenga en cuenta que la clave privada cifrada se descifra después de cargarla en el arreglo. La frase de contraseña de PKCS12 debe ser suficiente para proteger la clave privada durante la carga en el arreglo.
Según el uso previsto de la clave privada, se debe cifrar o no. Tengo entendido que si la clave privada se va a utilizar con el script svc_custom_cert, la clave privada no se debe cifrar. Si hace referencia a KB335076, tenga en cuenta que la clave privada cifrada se descifra después de cargarla en el arreglo. La frase de contraseña de PKCS12 debe ser suficiente para proteger la clave privada durante la carga en el arreglo.
Berörda produkter
Dell EMC UnityArtikelegenskaper
Artikelnummer: 000191259
Artikeltyp: Solution
Senast ändrad: 20 feb. 2025
Version: 4
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.